网络与信息安全事故应急预案.docx

网络与信息安全事故应急预案1 总则1.1编制目的为提高公司网络与信息安全应急处理能力，科学应对网络与信息安全（以下简称信息安全）突发事件，建立健全网络与信息安全应急响应机制，有效预防、及时控制和最大限度地消除网络与信息安全各类突发事件的危害和影响，编制本预案。1.2编制依据依据中华人民共和国计算机信息系统安全保护条例、计算机信息系统保密管理暂行规定、中华人民共和国计算机信息网络国际联网管理暂行规定、计算机病毒防治管理办法、中华人民共和国突发事件应对法、国家突发公共事件总体应急预案、北京市突发公共事件总体应急预案中建一局集团网络与信息安全事故应急预案等相关法律、法规和规定，制定本预案。1.3分级分类本预案所称网络与信息安全突发事件，是指公司重要信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对公司利益造成或者可能造成重大危害，危及公司生产经营正常运行的紧急事件。1.3.1根据此项应急事件的发生过程、性质和机理，应急事件主要分为以下三类：1.3.1.1自然灾害：指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。1.3.1.2事故灾害：指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。1.3.1.3人为破坏：指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。上述各类应急事件引发次生、衍生的其它类型事件，应当具体分析，统筹应对。1.3.2上述各类应急事件按照其性质、严重程度、可控性和影响范围等因素，分为以下四级：1.3.2.1特别重大（级）：公司的重要网络与信息系统发生大规模瘫痪，事态发展超出信息化主管部门的控制能力，导致业务中断，造成或可能造成公司巨大经济损失和严重社会影响的突发事件。1.3.2.2重大（级）：公司的重要网络与信息系统发生瘫痪，导致业务中断，纵向或横向延伸可能造成公司较大经济损失和严重社会影响的，需要跨部门，跨公司协同处置的突发事件。1.3.2.3较大（级）：公司或各项目经理部的重要网络与信息系统瘫痪，对公司利益造成一定损害，但不需要跨部门、跨公司协同处置的突发事件。1.3.2.4一般（级）：公司或各项目经理部的重要网络与信息系统受到一定程度的损坏，对公司利益有轻微影响的突发事件。1.4使用范围本预案适用于公司内发生的各级网络与信息安全突发事件的应对工作。1.5工作原则1.5.1统一领导，协同配合。公司网络与信息安全突发事件应急工作应按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合，具体实施。1.5.2预防为主，加强监控。宣传普及信息安全防范知识，牢固树立“预防为主、常抓不懈”的意识，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。1.5.3明确责任，规范控制。各单位按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管谁负责、谁运营谁负责”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地区间的协调与配合，形成合力，共同履行应急处置工作的管理职责。2 组织体系和职责2.1应急指挥机构及其职责公司成立网络与信息安全事故应急领导小组，网络与信息安全事故应急领导小组由组长、副组长和有关部门负责同志组成。组长由公司负责信息工作的主管领导担任，副组长由公司信息管理室分管领导担任。成员由信息管理室、总经理办公室、党群工作部、财务部、资金部、人力资源部等有关部门负责人组成。网络与信息安全事故应急领导小组负责研究制定、修订公司应对网络与信息安全事故的政策措施和指导意见；负责指挥公司特别重大、重大网络与信息安全事故的具体应对工作，指导、检查公司各单位一般网络与信息安全事故的应对工作。公司网络与信息安全事故应急领导小组下设日常办公机构，设在公司信息管理室，负责人由信息管理室主任担任。2.2专家组及其职责成立网络与信息安全专家小组，由外部资深专家组成，负责提供技术咨询，参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作。3 运行机制3.1检测、预警与信息报告各单位要建立网络与信息安全突发公共事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，事发单位在按规定向有关部门报告的同时，要按紧急信息报送的规定及时向公司信息室通报。初次报告最迟不得超过30分钟，重大和特别重大的网络与信息安全突发信息事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。各单位要建立信息安全通报制度。按照公司网络与信息安全信息通报制度确定的范围，每月应向公司信息管理室报送本单位网络与信息系统的安全状况，报送时间为每月最后1个工作日。3.2先期处置当发生网络与信息安全突发事件时，事发单位应做好先期应急处置工作，立即采取措施控制事态，同时向公司信息室通报。信息室在接到网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对级或级的网络与信息安全突发事件，由信息室自行负责应急处置工作，并将有关情况向网络与信息安全事故应急领导小组通报。对有可能演变为级或级的网络与信息安全突发公共事件，要向网络与信息安全事故应急领导小组提出处置建议方案，并作好启动本预案的各项准备工作。相关信息化主管部门要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导、组织派遣应急支援力量，支持事发单位做好应急处置工作。3.3预案启动和预警发布对于可能发生或已经发生的网络与信息安全突发公共事件，事发单位应立即采取措施控制事态，并在30分钟内进行风险评估，判定事件等级并发布预警。必要情况下及时启动相应的预案，同时向公司信息室通报。公司信息室接到报警信息后应及时向网络与信息安全事故应急领导小组通报情况，并组织有关专家对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别，并及时向网络与信息安全事故应急领导小组组长报告。网络与信息安全事故应急领导小组组长接到报告后，应及时对信息作出判断，提出处理意见。对发生和可能发生I级或级的网络与信息安全突发公共事件时，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，决定启动本预案，同时确定指挥人员。对需要向全公司发布预警的网络与信息安全突发公共事件，由网络与信息安全事故应急领导小组授权公司信息室及时发布预警信息。根据其可能造成的危害程度、紧急程度和发展态势，预警级别分别用蓝色(一般)、黄色(较重)、橙色(严重)和红色(特别严重)来表示。预警信息应包括事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。各相关应急联动机构应根据发布的预警信息，做好相应的网络与信息安全应急保障准备工作。3.4指挥与协调本预案启动后，根据网络与信息安全事故应急领导小组的部署，担任组长的领导和参与指挥的有关领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。要迅速建立与现场指挥的通讯联系，有条件的要开通视频通讯。要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展趋势，研究提出处置方案，调集和配置应急处置所需要的人、财、物等资源，统一指挥网络与信息安全应急处置工作。需要成立现场工作组的，事发单位立即在现场成立工作组，并提供现场指挥运作的相关保障。现场工作组要根据事件性质迅速组建各类应急工作组，开展应急处置工作。现场工作组在网络与信息安全事故应急领导小组的指导下，全权负责现场的应急援救工作。3.5扩大应急经应急处置后，事态难以控制或有扩大发展趋势时，应实施扩大应急行动。实施应急处置和紧急支援的各部门和有关单位，要及时增加应急处置力量，加大技术、装备、物资、资金等保障力度，加强工作协调，努力控制事态扩大发展。3.6应急结束事发单位在网络与信息安全事故经应急处置，得到有效控制后，应将监测统计数据上报公司信息室，并经网络与信息安全事故应急领导小组批准后，宣布应急结束。3.7信息发布和通报应急事件一旦发生，事发单位要在30分钟内将信息报告公司信息室，处置过程中要随时通报有关情况，直到结束，不得迟报、漏报、谎报和瞒报。3.8善后处理在应急处置工作结束后，事发单位要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作，统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施并将善后处置的有关情况报公司信息室。3.9调查评估在应急处置工作结束后，公司信息室应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，并在10天内将调查评估报告报网络与信息安全事故应急领导小组。3.10恢复重建应急处置结束后，事发单位要迅速清理系统、恢复数据、程序和服务，把所有被攻击的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分慎重，避免出现操作失误而导致数据丢失。另外，恢复工作中如果涉及到机密数据，需要按照机密系统的恢复要求进行相关操作。4 应急保障4.1人力保障公司要加强信息安全人才培养，强化信息安全宣传教育，按照一专多能的要求建设一支高素质、高技术的信息安全管理队伍，提高信息安全防御能力。同时，可以由公司信息室选择若干经国家有关部门资质认可的，具有管理规范、服务能力较强的专业公司作为公司网络与信息安全的社会应急支援单位，提供技术支持与服务。4.2财力保障公司要安排专项资金用于预防或应对网络与信息系统突发信息事件，列入企业年度预算，切实予以保障。4.3物力保障公司在建设系统时应事先预留出一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，由公司信息室负责统一调用。4.4技术保障公司要建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力，从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。加强应急通信装备准备，建立备份系统和紧急保障措施，形成跨部门、多手段、多路由，有线和无线相结合的反应快速、灵活机动、稳定可靠的通信系统。4.5数据保障重要信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。5 监督管理5.1宣传教育和人员培训公司信息室应利用多种形式开展宣传，不定期地利用各种安全活动向员工宣传信息安全应急法律、法规和预防、应急的常识。为确保信息安全应急预案有效运行，应定期或不定期举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。5.2预案演练为提高信息安全突发事件应急响应水平，各单位应定期或不定期组织预案演练，检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的